Chinesische Universitätsstudenten wurden dazu verleitet, bei einem geheimen Technologieunternehmen zu arbeiten, das die wahre Natur ihrer Arbeit verschleiert: die Erforschung westlicher Ziele für die Spionage und die Übersetzung gehackter Dokumente als Teil von Pekings industriellem Geheimdienstregime.
Die Financial Times hat 140 potenzielle Übersetzer ausfindig gemacht und kontaktiert, meist junge Absolventen, die Englisch an öffentlichen Universitäten in Hainan, Sichuan und Xi’an studiert haben. Sie hatten auf Stellenanzeigen von Hainan Xiandun geantwortet, einem Unternehmen mit Sitz auf der tropischen Südinsel Hainan.
Das Bewerbungsverfahren umfasste Übersetzungstests an sensiblen Dokumenten, die von US-Regierungsbehörden erhalten wurden, und Anweisungen an Recherche-Personen an der Johns Hopkins University, einem wichtigen Geheimdienstziel.
Hainan Xiandun wird in einer US-Bundesanklageschrift aus dem Jahr 2021 beschuldigt, ein Deckmantel für die chinesische Hackergruppe APT40 gewesen zu sein. Westliche Geheimdienste haben APT40 beschuldigt, auf Befehl des chinesischen Ministeriums für Staatssicherheit Regierungsbehörden, Unternehmen und Universitäten in den USA, Kanada, Europa und dem Nahen Osten infiltriert zu haben.
Das FBI versuchte im vergangenen Juli, die Aktivitäten von Hainan Xiandun zu stören, indem es drei Staatssicherheitsbeamte in der Provinz Hainan – Ding Xiaoyang, Cheng Qingmin und Zhu Yunmin – wegen ihrer angeblichen Rolle bei der Etablierung des Unternehmens als Front für staatlich unterstützte Spionage anklagte. Ein weiterer Mann, der in der Anklage erwähnt wird, Wu Shurong, soll ein Hacker sein, der geholfen hat, die Mitarbeiter von Hainan Xiandun zu beaufsichtigen.
Westliche Geheimdienste suchen auch an Universitäten nach potenziellen Spionen, wobei die Bewerber strengen Überprüfungen und Schulungen unterzogen werden, bevor sie sich Organisationen wie der CIA in den USA oder dem britischen Signalgeheimdienst GCHQ anschließen.
Aber chinesische Absolventen, die von Hainan Xiandun ins Visier genommen wurden, scheinen unwissentlich in ein Leben der Spionage hineingezogen worden zu sein. Stellenanzeigen des Unternehmens wurden auf Universitätswebsites für Übersetzer veröffentlicht, ohne dass die Art der Arbeit näher erläutert wurde.
Dies könnte lebenslange Folgen haben, da Personen, die durch ihre Arbeit für Hainan Xiandun mit MSS zusammengearbeitet haben, wahrscheinlich Schwierigkeiten beim Leben und Arbeiten in westlichen Ländern haben werden, eine Hauptmotivation für viele Studenten, die Fremdsprachen studieren.
Die FT kontaktierte alle 140 Personen auf einer durchgesickerten Kandidatenliste, die von Sicherheitsbeamten in der Region zusammengestellt wurde, um die Echtheit der Bewerbungen zu bestätigen. Mehrere der Kontaktierten bestätigten zunächst ihre Identität, beendeten die Telefongespräche jedoch, nachdem sie nach ihren Verbindungen zu Hainan Xiandun gefragt worden waren. Einige sprachen über ihre Erfahrungen mit dem Einstellungsverfahren.
Ihre Anwendungen geben Einblick in die Taktiken von APT40, das dafür bekannt ist, biomedizinische, Robotik- und maritime Forschungseinrichtungen im Rahmen umfassenderer Bemühungen anzugreifen, um Kenntnisse über die westliche Industriestrategie zu erlangen und sensible Daten zu stehlen.
Hacking in diesem Ausmaß erfordert eine riesige Belegschaft von Englisch sprechenden Personen, die helfen können, Hacking-Ziele zu identifizieren, Cyber-Techniker, die auf die Systeme der Gegner zugreifen können, und Geheimdienstoffiziere, um das gestohlene Material zu analysieren.
Zhang, ein Absolvent der englischen Sprache, der sich bei Hainan Xiandun beworben hatte, sagte der FT, dass ein Personalvermittler ihn gebeten habe, über die herkömmlichen Übersetzungspflichten hinauszugehen und das Johns Hopkins Applied Physics Laboratory zu recherchieren, mit der Anweisung, Informationen über die Institution zu finden, einschließlich der Lebensläufe von die Direktoren im Vorstand, die Architektur des Gebäudes und Einzelheiten der Forschungsverträge, die es mit Kunden geschlossen hatte.
Die APL, ein großer Empfänger von Forschungsgeldern des US-Verteidigungsministeriums, ist wahrscheinlich von erheblichem nachrichtendienstlichem Interesse für Peking und die dort arbeitenden Personen, die primäre Hackerziele sind.
Das Anweisungsdokument forderte die Stellenkandidaten auf, „Software herunterzuladen, um hinter die Große Firewall zu gelangen“. Es warnt davor, dass die Forschung das Konsultieren von Websites wie Facebook beinhalten wird, das in China verboten ist und daher ein VPN erfordert, eine Software, die den Standort des Benutzers maskiert, um Zugriff zu erhalten.
„Es war ganz klar, dass dies kein Übersetzungsunternehmen war“, sagte Zhang, der sich dagegen entschied, seine Bewerbung fortzusetzen.
Dakota Cary, Expertin für chinesische Cyberspionage und ehemalige Sicherheitsanalystin an der Georgetown University, sagte, die studentischen Übersetzer würden wahrscheinlich bei der Recherche von Organisationen oder Einzelpersonen helfen, die sich als fruchtbare Quellen sensibler Informationen erweisen könnten.
„Die Tatsache, dass Sie ein VPN verwenden müssen, dass Sie Ihre eigenen Nachforschungen anstellen müssen und dass Sie gute Sprachkenntnisse benötigen, sagt mir alles, dass diese Studenten Hacking-Ziele identifizieren werden“, sagte er.
Cary, der Anfang dieses Jahres vor der Wirtschafts- und Sicherheitsüberprüfungskommission zwischen den USA und China über Pekings Cyberfähigkeiten aussagte, sagte, die Anweisung, Johns Hopkins zu untersuchen, sei ein Indikator für das Maß an Initiative und Fähigkeit, sich Fachwissen anzueignen, das von den Übersetzern erwartet werde .
Ein Sicherheitsbeamter in der Region sagte, die Enthüllungen seien ein Beweis dafür, dass die MSS Universitätsstudenten als „Rekrutierungspipeline“ für ihre Spionageaktivitäten verwende.
Antony Blinken, US-Außenminister, hat die MSS zuvor dafür verurteilt, ein „Ökosystem krimineller Vertragshacker“ aufgebaut zu haben, die sich sowohl an staatlich geförderten Aktivitäten als auch an finanziell motivierter Cyberkriminalität beteiligen. Blinken fügte hinzu, dass diese Hacker Regierungen und Unternehmen „Milliarden von Dollar“ an gestohlenem geistigem Eigentum, Lösegeldzahlungen und Cyberabwehr kosten.
Hainan Xiandun bat die Antragsteller, ein Dokument des US-amerikanischen Büros für Infrastrukturforschung und -entwicklung zu übersetzen, das technische Erläuterungen zur Verhinderung von Korrosion in Verkehrsnetzen und Infrastruktur enthält. Dies schien die Fähigkeiten potenzieller Mitarbeiter zu testen, komplexe wissenschaftliche Konzepte und Terminologie zu interpretieren.
„Es war ein sehr seltsamer Prozess“, sagte Cindy, eine Englischstudentin einer angesehenen chinesischen Universität. „Ich habe mich online beworben und dann hat mir die Personalabteilung eine hochtechnische Testübersetzung geschickt.“ Sie entschied sich dagegen, die Bewerbung fortzusetzen.
Adam Kozy, ein ehemaliger FBI-Beamter, der zuletzt bei der Cybersicherheitsfirma CrowdStrike arbeitete, sagte, er habe noch nie davon gehört, dass westliche Geheimdienste Universitätsstudenten anwerben, ohne dass ihnen eine Sicherheitsfreigabe zum Sammeln von Informationen erteilt wurde.
„Die MSS machen alles sehr informell und sie mögen die Grauzonen“, sagte er. „Es ist interessant zu sehen, dass sie sich auf eine junge studentische Belegschaft verlassen, um einen Großteil der Drecksarbeit zu erledigen, die später im Leben diese Folgeschäden haben kann, und diese potenziellen Risiken höchstwahrscheinlich nicht vollständig erklären.“
Die MSS reagierte nicht auf Anfragen nach Kommentaren.
Hainan Xiandun bat um Bewerbungen auf Universitäts-Rekrutierungsseiten und scheint eine enge Beziehung zur Hainan-Universität zu haben. Das Unternehmen wurde im ersten Stock der Universitätsbibliothek registriert, wo sich der studentische Computerraum befindet.
Eine Stellenanzeige, die auf der Website der Fremdsprachenabteilung der Universität veröffentlicht wurde, rief zur Bewerbung von englischsprachigen Studentinnen und Mitgliedern der Kommunistischen Partei auf. Die Anzeige wurde seit den Anfragen der FT zu dieser Geschichte gelöscht.
Mehrere Studenten, die sich für Hainan Xiandun beworben hatten, hatten Schulpreise für ihre Sprachkenntnisse gewonnen, und andere hatten die zusätzliche Auszeichnung, Parteimitglied zu sein.
Laut der Anklageschrift des FBI „koordinierten sich MSS-Beamte mit Mitarbeitern und Professoren an Universitäten in Hainan und anderswo in China“, um ihre nachrichtendienstlichen Ziele voranzutreiben. Das Personal einer in Hainan ansässigen Universität half auch dabei, Hainan Xiandun als Scheinfirma zu unterstützen und zu verwalten, „einschließlich durch Gehaltsabrechnungen, Sozialleistungen und eine Postanschrift“, heißt es in der Anklageschrift.
Während das FBI die Universität beschuldigte, die MSS bei der Identifizierung und Rekrutierung von Hackern und Linguisten unterstützt zu haben, um in Computernetzwerke „einzudringen und sie zu stehlen“, erwähnt es nicht die Rolle der Universität bei der Rekrutierung von Studenten, um der Sache zu helfen.
Als Antwort auf die Ergebnisse der FT sagte Michael Misumi, Chief Information Officer bei Johns Hopkins APL, dass die APL „wie viele technische Organisationen“ „auf viele Cyber-Bedrohungen reagieren muss und geeignete Maßnahmen ergreift, um sich und ihre Systeme kontinuierlich zu verteidigen“.
Die Universität Hainan antwortete nicht auf Anfragen nach Kommentaren.
Die Namen der Bewerber wurden geändert, um ihre Identität zu schützen